최근 본지를 사칭해 북한인권 단체장에게 피싱 메일이 발송되는 사건이 발생해 주의가 요구된다.
데일리NK는 16일 오전 북한인권 NGO 대표에게 본사를 사칭한 피싱 이메일이 발송된 것을 확인했다.
해당 메일은 ‘중앙당 경제부 일꾼 5명, 국가정책 비난한 죄로 지난 7월 처형’이라는 제목으로 발송됐다. 이는 지난 11일 본지가 작성한 기사의 헤드라인이다. 수신자를 속이기 위해 본사 기사를 활용한 것이다.(▶관련기사 : 중앙당 경제부 일꾼 5명, 국가정책 비난한 죄로 지난 7월 처형)
여기에 해커는 본사 홈페이지 주소가 ‘dailynk.com’이라는 점을 활용해 이메일 도메인을 ‘public@dailynk.com’이라고 조작했다. 이는 해커가 공격대상자의 경계심을 낮추려는 전략이다.
이와 관련, 본사는 ‘@dailynk.com’이라는 이메일 도메인을 사용하고 있지 않다. 이에 해당 도메인을 사용하는 메일은 피싱일 가능성이 크다. 해당 메일에 첨부된 파일을 열어보거나 링크를 클릭할 경우 악성 코드가 PC에 설치되거나, 각종 정보가 해커에게 넘어갈 수 있어 각별한 주의가 필요하다.
또한, 해커는 첨부파일에 북한 내부 문건을 출력한 문서와 담배가 보이는 사진을 이메일에 함께 보냈다.
이미지는 ‘조선로동당 정치국, 군사부, 군수공업부, 인민무력부 책일 일군들과 하신 담화(발취) 11월 5일’이라는 제목으로 출력된 문서와 압록강 담배를 촬영한 것이다. 내부문서라는 점을 강조하기 위해 압록강 담배와 함께 촬영한 것으로 보인다. 이 역시 메일 수신자의 호기심을 자극해 이미지 파일을 클릭하게 만들려는 해커의 전략 중 하나다.
그러나 해당 메일을 전문가에게 분석을 의뢰한 결과 메일과 이미지 파일에서 악성 코드가 발견되지는 않았다.
다만, 이메일 수신 열람 여부를 확인하기 위한 비콘(Beacon)이 숨겨져 있는 것이 확인됐다. 비콘은 해커가 미리 설정한 도메인으로 접속 신호로그를 전송하는 기능이다. 해커가 이메일 수신 여부, 첨부파일 클릭 여부 등을 파악해 향후 추가 공격이 가능한지 여부를 가늠해보려는 것이다.
문종현 이스트시큐리티 ESRC(시큐리티대응센터) 이사는 이날 데일리NK에 “메일 속 PNG 이미지는 특정 서버에 연결된 사진 파일로 마치 섬네일처럼 미리보기로 보여지도록 만든 것”이라며 “이미지를 클릭하면 이메일 열람 사실이 해커에게 전달되는 비콘 기능이 숨겨져 있다”고 말했다.
문 이사는 “이번 공격에 해커가 사용한 서버는 해외 호스팅 업체 도메인으로 과거 금성121 해킹 조직들이 자주 사용했던 곳 중 하나다”면서 “특정 정부가 연계된 것으로 알려진 금성121 조직 소행 가능성 여부는 좀 더 자세한 조사가 필요하지만, 정찰용 사전침투 목적의 피싱 공격은 확실하다”고 설명했다.
한편, 이번 피싱 공격에 사용된 이미지 링크 주소가 국내 대형 은행의 이벤트 사이트처럼 위장된 사실도 발견됐다. 향후 해커가 해당 은행 이벤트를 피싱에 활용할 가능성도 있다는 지적이 제기된다.
문 이사는 “이번 피싱 메일에서 특이한 점은 이미지 파일 링크가 마치 국내 시중 은행 이름처럼 돼 있다”면서 “다른 목적으로 만든 서버와 주소를 해커가 이번에 일시적으로 사용한 것이 아닌지 의문이 생긴다”고 말했다.
이어 그는 “수신자와 관련이 있거나 데일리NK와 관련된 링크 주소를 사용해야 공격대상자를 쉽게 속일 수 있다”면서 “그런데 전혀 관계없는 기업 이름이 피싱에 사용돼 일반적이지는 않은 모습이다”고 덧붙였다.
